アクセス管理 access-management
Webapp 演算子
デフォルトでは、webApp オペレーターは管理者です。 セキュリティを向上させるには、次のガイドラインに従います。
-
このオペレーターのネームド権限を新しい権限に置き換えます(「webapp」という名前を付けることができます)。 詳しくは、このページを参照してください。
-
フォルダー(主に受信者フォルダー)に webApp オペレーターを追加して、受信者に読み取り/書き込みアクセス権を付与します。 詳しくは、このページを参照してください。
-
マルチブランド(または複数の地域)インスタンスを使用している場合は、web アプリケーションのアクセスを様々な受信者フォルダーに分割できます。 それには、次の手順に従います。
-
webApp オペレーターの複製
-
各複製の名前を入力します。 例:webapp_brand、webapp_brand2 など
-
Web アプリケーションテンプレートを複製して、ブランドごとに 1 つのテンプレートを作成し、「特定のアカウントを使用」を選択してプロパティを編集し、オペレーターを変更します。 詳しくは、このページを参照してください。
-
セキュリティグループと管理者オペレーター
オペレーターが必要な操作だけを行えるように十分な権限をオペレーターに付与するのに十分なセキュリティグループを作成します。
管理者オペレーターは使用しないでください(または共有しないでください)。 物理ユーザーごとに 1 つのオペレーターを作成します(正確な監査/ログを作成するため)。 管理者グループに新しい名前の管理者を追加します。 admin 演算子を使用しない場合は、削除および無効化を行わないでください。この演算子は、処理を実行するために内部で使用されます。 ただし、その クライアントコンソールへのアクセスを禁止し、そのセキュリティゾーン(localhost)を制限できます。
管理者グループ(または管理者のネームド権限)に追加するオペレーターの数が多くなりすぎないようにします。 これらのオペレーターは非常に強力です(すべての SQL 文の実行、サーバーでのコマンドの実行などができます)。
Adobe Campaignは、 ネームド権限を通じて、次の 3 つの高レベルの権限を提供します。
-
ADMINISTRATION (管理者):すべての権限にアクセスできるようにし、すべてのネームド権限チェックをバイパスして、すべてを実行できるようにします。そのため、PROGRAM EXECUTION (createProcess)および SQL のネームド権限が含まれます。
-
プログラム実行 (createProcess):外部プログラムの(サーバー上での)実行を許可します。
-
SQL: データベースで SQL スクリプトの実行を許可します(セキュリティモデルを回避できます)。 注意:複雑な計算(フィルタリングなど)を行う必要がある場合は、データベース管理者に依頼して SQL 関数を作成し、許可リストに追加できます。 詳しくは、このページを参照してください。
-
ごく少数の(かつ信頼できる)オペレーターに付与する